本資料由小槳備考整理，僅供學(xué)習(xí)參考，非官方發(fā)布2018年09月基礎(chǔ)知識(shí)（改考前）答案及解析單選題（共50題，共50分）1.信息分級(jí)的目的是（）。A.確保信息按照其對(duì)組織的重要程度受到適當(dāng)級(jí)別的保護(hù)B.確保信息按照其級(jí)別得到適當(dāng)?shù)谋.確保信息得到保護(hù)D.確保信息按照其級(jí)別得到處建答案：A解析：根據(jù)題目給出的選項(xiàng)，我們可以逐一分析：A選項(xiàng)“確保信息按照其對(duì)組織的重要程度受到適當(dāng)級(jí)別的保護(hù)”表示信息分級(jí)的目的是根據(jù)信息對(duì)組織的重要程度來給予適當(dāng)?shù)谋Ｗo(hù)，這是符合信息分級(jí)的基本概念的。B選項(xiàng)“確保信息按照其級(jí)別得到適當(dāng)?shù)谋！敝械摹斑m當(dāng)?shù)谋！北磉_(dá)不清晰，而且“級(jí)別”這個(gè)詞沒有明確定義，所以不是正確答案。C選項(xiàng)“確保信息得到保護(hù)”沒有指明保護(hù)的標(biāo)準(zhǔn)或依據(jù)，過于籠統(tǒng)，不是最佳答案。D選項(xiàng)“確保信息按照其級(jí)別得到處建”中的“處建”顯然是一個(gè)錯(cuò)別字，應(yīng)該是“處理”，但這個(gè)選項(xiàng)的表述仍然不清楚，且不符合信息分級(jí)的常規(guī)目的。因此，正確答案是A選項(xiàng)，即“確保信息按照其對(duì)組織的重要程度受到適當(dāng)級(jí)別的保護(hù)”。2.（）屬于管理脆弱性的識(shí)別對(duì)象。A.物理環(huán)境B.網(wǎng)路結(jié)構(gòu)C.應(yīng)用系統(tǒng)組D.技術(shù)管理答案：D解析：管理脆弱性的識(shí)別對(duì)象主要包括與技術(shù)管理相關(guān)的內(nèi)容。因此，選項(xiàng)D“技術(shù)管理”屬于管理脆弱性的識(shí)別對(duì)象。而選項(xiàng)A“物理環(huán)境”、選項(xiàng)B“網(wǎng)絡(luò)結(jié)構(gòu)”和選項(xiàng)C“應(yīng)用系統(tǒng)組”雖然與管理相關(guān)，但更偏向于技術(shù)或物理層面的內(nèi)容，不是專門針對(duì)管理脆弱性的識(shí)別對(duì)象。因此，正確答案為D。3.關(guān)于備份下說法正確的是（）。A.備份介質(zhì)的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測試B.如果組織刪減了“信息安全連續(xù)性”要求，同機(jī)備份或備份本地存放是可接受的C.發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移D.備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期答案：A解析：A選項(xiàng)提到“備份介質(zhì)的數(shù)據(jù)應(yīng)定期進(jìn)行恢復(fù)測試”，這是確保備份數(shù)據(jù)可用性的重要措施，因?yàn)榧词惯M(jìn)行了備份，如果備份數(shù)據(jù)無法恢復(fù)，那么備份也就失去了意義。B選項(xiàng)提到“如果組織刪減了‘信息安全連續(xù)性’要求，同機(jī)備份或備份本地存放是可接受的”，這實(shí)際上可能增加了數(shù)據(jù)丟失的風(fēng)險(xiǎn)，因?yàn)橥瑱C(jī)備份或本地備份可能無法應(yīng)對(duì)硬件故障或自然災(zāi)害等意外情況。C選項(xiàng)提到“發(fā)現(xiàn)備份介質(zhì)退化后應(yīng)考慮數(shù)據(jù)遷移”，這是正確的，因?yàn)閭浞萁橘|(zhì)的退化可能導(dǎo)致數(shù)據(jù)損壞或丟失，及時(shí)的數(shù)據(jù)遷移可以確保數(shù)據(jù)的完整性。D選項(xiàng)提到“備份信息不是管理體系運(yùn)行記錄，不須規(guī)定保存期”，這是錯(cuò)誤的，因?yàn)閭浞菪畔⑼瑯邮枪芾眢w系運(yùn)行的重要記錄，應(yīng)該規(guī)定適當(dāng)?shù)谋４嫫?，以確保在需要時(shí)能夠回溯和恢復(fù)數(shù)據(jù)。因此，A選項(xiàng)是正確的。4.（）是建立有效的計(jì)算機(jī)病毒防御體系所需要的技術(shù)措施。A.防火墻、網(wǎng)絡(luò)入侵檢測和防火墻B.漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻C.漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻D.網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻答案：D解析：在建立有效的計(jì)算機(jī)病毒防御體系時(shí)，需要采用多種技術(shù)措施來確保系統(tǒng)的安全性和穩(wěn)定性。在給出的選項(xiàng)中，A選項(xiàng)“防火墻、網(wǎng)絡(luò)入侵檢測和防火墻”存在重復(fù)，因?yàn)榉阑饓σ呀?jīng)包含了網(wǎng)絡(luò)入侵檢測的部分功能，因此A選項(xiàng)不正確。B選項(xiàng)“漏洞掃描、網(wǎng)絡(luò)入侵檢測和防火墻”雖然包括了漏洞掃描和網(wǎng)絡(luò)入侵檢測，但缺少了防病毒系統(tǒng)，因此B選項(xiàng)也不完全正確。C選項(xiàng)“漏洞掃描、補(bǔ)丁管理系統(tǒng)和防火墻”雖然包括了漏洞掃描和防火墻，但缺少了防病毒系統(tǒng)，因此C選項(xiàng)也不完全正確。而D選項(xiàng)“網(wǎng)絡(luò)入侵檢測、防病毒系統(tǒng)和防火墻”則包括了建立有效計(jì)算機(jī)病毒防御體系所需要的所有技術(shù)措施，因此D選項(xiàng)是正確的。因此，正確答案是D。5.你所在的組織正在計(jì)劃購置一套適合多種系統(tǒng)的訪問控制軟件包來保護(hù)關(guān)鍵信息資源，在評(píng)估這樣一個(gè)軟件產(chǎn)品時(shí)最重要的標(biāo)準(zhǔn)是什么？（）A.要保護(hù)什么樣的信息？B.有多少信息要保護(hù)？C.為保護(hù)這些重要信息你準(zhǔn)備有多大的投入？D.不保護(hù)這些重要信息，你將付出多大的代價(jià)？答案：D解析：在評(píng)估一個(gè)適合多種系統(tǒng)的訪問控制軟件包時(shí)，最重要的是考慮不保護(hù)這些重要信息將付出的代價(jià)。這是因?yàn)?，如果重要信息沒有得到保護(hù)，可能會(huì)面臨數(shù)據(jù)泄露、系統(tǒng)被攻擊等風(fēng)險(xiǎn)，從而給組織帶來不可預(yù)知的損失。因此，選擇軟件包時(shí)，應(yīng)該首先考慮不保護(hù)這些重要信息將付出的代價(jià)，以確保選擇的產(chǎn)品能夠有效地保護(hù)關(guān)鍵信息資源。其他選項(xiàng)，如要保護(hù)什么樣的信息、有多少信息要保護(hù)以及為保護(hù)這些重要信息準(zhǔn)備有多大的投入，雖然也很重要，但相較于不保護(hù)重要信息的代價(jià)，這些因素并不是最重要的評(píng)估標(biāo)準(zhǔn)。6.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計(jì)算機(jī)信息系統(tǒng)，是指（）。A.對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)B.計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件C.計(jì)算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)D.一個(gè)組織所有計(jì)算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)答案：A解析：《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中所稱計(jì)算機(jī)信息系統(tǒng)，是指進(jìn)行信息采集、加工、存儲(chǔ)、傳輸和檢索等人機(jī)系統(tǒng)。它不僅僅包括計(jì)算機(jī)及其相關(guān)設(shè)備、設(shè)施，還涉及軟件的處理和運(yùn)算環(huán)境，甚至可能包括網(wǎng)絡(luò)。因此，選項(xiàng)A“對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)”是最符合定義的。選項(xiàng)B“計(jì)算機(jī)及其相關(guān)的設(shè)備、設(shè)施，不包括軟件”是不準(zhǔn)確的，因?yàn)檐浖怯?jì)算機(jī)信息系統(tǒng)的重要組成部分。選項(xiàng)C“計(jì)算機(jī)運(yùn)算環(huán)境的總和，但不含網(wǎng)絡(luò)”和選項(xiàng)D“一個(gè)組織所有計(jì)算機(jī)的總和，包括未聯(lián)網(wǎng)的微型計(jì)算機(jī)”也都沒有全面涵蓋計(jì)算機(jī)信息系統(tǒng)的定義。7.《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查對(duì)秘密級(jí)、機(jī)密信息系統(tǒng)每（）至少進(jìn)行一次保密檢查或系統(tǒng)測評(píng)。A.半年B.l年C.1.5年D.2年答案：D解析：《信息安全等級(jí)保護(hù)管理辦法》規(guī)定，應(yīng)加強(qiáng)涉密信息系統(tǒng)運(yùn)行中的保密監(jiān)督檢查，對(duì)秘密級(jí)、機(jī)密信息系統(tǒng)每兩年至少進(jìn)行一次保密檢查或系統(tǒng)測評(píng)。因此，正確答案為D，即“2年”。8.A公司進(jìn)行風(fēng)險(xiǎn)評(píng)估后發(fā)現(xiàn)公司的無線網(wǎng)絡(luò)存在大的安全隱患，網(wǎng)絡(luò)用于辦公，這種處置方式屬于（）。A.風(fēng)險(xiǎn)接受B.風(fēng)險(xiǎn)規(guī)避C.風(fēng)險(xiǎn)轉(zhuǎn)移D.風(fēng)險(xiǎn)減緩答案：B解析：題目中提到A公司進(jìn)行了風(fēng)險(xiǎn)評(píng)估，發(fā)現(xiàn)無線網(wǎng)絡(luò)存在大的安全隱患，網(wǎng)絡(luò)用于辦公。根據(jù)這個(gè)描述，公司發(fā)現(xiàn)了風(fēng)險(xiǎn)，并采取了措施來應(yīng)對(duì)這個(gè)風(fēng)險(xiǎn)，即評(píng)估并發(fā)現(xiàn)了風(fēng)險(xiǎn)，然后采取措施來規(guī)避這個(gè)風(fēng)險(xiǎn)。因此，這種處置方式屬于風(fēng)險(xiǎn)規(guī)避。選項(xiàng)B“風(fēng)險(xiǎn)規(guī)避”符合題意。9.管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址，對(duì)其的管理方式不包括（）。A.自動(dòng)恢復(fù)其IP至原綁定狀態(tài)B.斷開網(wǎng)絡(luò)并持續(xù)阻斷C.彈出提示窗口對(duì)其發(fā)出警告D.鎖定鍵盤鼠標(biāo)答案：D解析：當(dāng)管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，如果終端用戶修改了IP地址，以下幾種管理方式是可能發(fā)生的：A.自動(dòng)恢復(fù)其IP至原綁定狀態(tài)：如果系統(tǒng)設(shè)置了自動(dòng)恢復(fù)功能，那么用戶的IP地址會(huì)被自動(dòng)恢復(fù)到原先綁定的狀態(tài)。B.斷開網(wǎng)絡(luò)并持續(xù)阻斷：這是一種安全措施，當(dāng)檢測到IP地址被修改時(shí)，系統(tǒng)可能會(huì)斷開用戶的網(wǎng)絡(luò)連接，并持續(xù)阻斷其訪問。C.彈出提示窗口對(duì)其發(fā)出警告：系統(tǒng)可能會(huì)彈出一個(gè)警告窗口，提示用戶其IP地址已被修改，并可能告知其相關(guān)的安全策略或風(fēng)險(xiǎn)。D.鎖定鍵盤鼠標(biāo)：這不是一種常見的管理方式。通常，當(dāng)IP地址被修改時(shí)，系統(tǒng)不會(huì)鎖定用戶的鍵盤和鼠標(biāo)。鎖定鍵盤和鼠標(biāo)通常與物理安全或特定的安全策略有關(guān)，而不是與IP地址修改直接相關(guān)。因此，正確答案是D，即“鎖定鍵盤鼠標(biāo)”不是管理員通過桌面系統(tǒng)下發(fā)IP、MAC綁定策略后，終端用戶修改了IP地址時(shí)的管理方式。10.ISO/IEC27001從（）的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。A.組織整體業(yè)務(wù)風(fēng)險(xiǎn)B.客戶安全要求C.信息安全法律法規(guī)D.職能部門監(jiān)管答案：A解析：根據(jù)ISO/IEC27001標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)從組織整體業(yè)務(wù)風(fēng)險(xiǎn)的角度，為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系（ISMS）規(guī)定了要求。因此，正確答案為A選項(xiàng)，即組織整體業(yè)務(wù)風(fēng)險(xiǎn)。其他選項(xiàng)如客戶安全要求、信息安全法律法規(guī)和職能部門監(jiān)管雖然與信息安全有關(guān)，但不是ISO/IEC27001標(biāo)準(zhǔn)的核心要求。11.對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離是（）。A.可以降低成本B.可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險(xiǎn)C.必須物理離和必須禁止無線網(wǎng)絡(luò)D.以上都對(duì)答案：B解析：對(duì)于較大范圍的網(wǎng)絡(luò)，網(wǎng)絡(luò)隔離的主要目的是降低不同用戶組之間非授權(quán)訪問的風(fēng)險(xiǎn)。網(wǎng)絡(luò)隔離可以通過物理隔離、邏輯隔離或兩者結(jié)合的方式實(shí)現(xiàn)，以確保不同用戶組之間的訪問受到嚴(yán)格控制，從而防止未經(jīng)授權(quán)的數(shù)據(jù)訪問和潛在的安全威脅。因此，選項(xiàng)B“可以降低不同用戶組之間非授權(quán)訪問的風(fēng)險(xiǎn)”是正確的。選項(xiàng)A“可以降低成本”并不是網(wǎng)絡(luò)隔離的主要目的，選項(xiàng)C“必須物理隔離和必須禁止無線網(wǎng)絡(luò)”過于絕對(duì)，選項(xiàng)D“以上都對(duì)”也不準(zhǔn)確，因?yàn)椴⒎撬羞x項(xiàng)都是網(wǎng)絡(luò)隔離的正確描述。12.公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開機(jī)密碼少于6位，公司文件規(guī)定員工計(jì)算機(jī)密碼必須6位及以上，那么下列選項(xiàng)中哪一項(xiàng)不是針對(duì)該問題的糾正措施？（）A.要求員工立即改正B.對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)C.通過域控進(jìn)行強(qiáng)制管理D.對(duì)所有員工進(jìn)行意識(shí)教育答案：A解析：公司A在內(nèi)審時(shí)發(fā)現(xiàn)部分員工計(jì)算機(jī)開機(jī)密碼少于6位，而公司文件規(guī)定員工計(jì)算機(jī)密碼必須6位及以上。針對(duì)這一問題，我們需要考慮有效的糾正措施。A選項(xiàng)要求員工立即改正，這更像是一個(gè)緊急應(yīng)對(duì)措施，而不是長期的糾正措施。B選項(xiàng)對(duì)員工進(jìn)行優(yōu)質(zhì)口令設(shè)置方法的培訓(xùn)，可以提高員工的安全意識(shí)，教授他們?nèi)绾卧O(shè)置強(qiáng)密碼，從而防止類似問題的再次發(fā)生。C選項(xiàng)通過域控進(jìn)行強(qiáng)制管理，可以確保所有員工的密碼都符合公司規(guī)定，是一種有效的管理手段。D選項(xiàng)對(duì)所有員工進(jìn)行意識(shí)教育，可以提高員工對(duì)密碼安全性的重視程度，從而降低密碼泄露的風(fēng)險(xiǎn)。因此，A選項(xiàng)要求員工立即改正不是針對(duì)該問題的糾正措施，而是應(yīng)急措施。13.局域網(wǎng)環(huán)境下與大型計(jì)算機(jī)環(huán)境下的本地備份方式在（）方面有主要區(qū)別。A.主要結(jié)構(gòu)B.容錯(cuò)能力C.網(wǎng)絡(luò)拓?fù)銬.局域網(wǎng)協(xié)議答案：B解析：在局域網(wǎng)環(huán)境下，本地備份方式主要關(guān)注如何有效地在局域網(wǎng)內(nèi)部進(jìn)行數(shù)據(jù)備份，而大型計(jì)算機(jī)環(huán)境下的本地備份方式則更注重系統(tǒng)的容錯(cuò)能力。大型計(jì)算機(jī)通常處理高負(fù)荷的任務(wù)，數(shù)據(jù)丟失可能帶來嚴(yán)重的后果，因此其本地備份方式需要具備更高的容錯(cuò)能力。因此，局域網(wǎng)環(huán)境下與大型計(jì)算機(jī)環(huán)境下的本地備份方式在容錯(cuò)能力方面有主要區(qū)別。所以，正確答案是nB容錯(cuò)能力。14.關(guān)于關(guān)于涉密信息系統(tǒng)的管理，以下說法不正確的是（）。A.涉密計(jì)算機(jī)、存儲(chǔ)設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)B.涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)C.涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載D.涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途答案：B解析：根據(jù)《涉密信息系統(tǒng)安全保密管理要求》的規(guī)定，涉密計(jì)算機(jī)、存儲(chǔ)設(shè)備不得接入互聯(lián)網(wǎng)及其他公共信息網(wǎng)絡(luò)，因此選項(xiàng)A正確。而選項(xiàng)B“涉密計(jì)算機(jī)只有采取了適當(dāng)防護(hù)措施才可接入互聯(lián)網(wǎng)”與這一規(guī)定相悖，因此不正確。選項(xiàng)C“涉密信息系統(tǒng)中的安全技術(shù)程序和管理程序不得擅自卸載”和選項(xiàng)D“涉密計(jì)算機(jī)未經(jīng)安全技術(shù)處理不得改作其他用途”均符合涉密信息系統(tǒng)的管理要求，因此正確。因此，不正確的說法是B。15.關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估，以下說法正確的是（）。A.如果集團(tuán)企業(yè)的各地分/子公司業(yè)務(wù)性質(zhì)相同，則針對(duì)一個(gè)分/子公司識(shí)別，評(píng)價(jià)風(fēng)險(xiǎn)即可，其風(fēng)險(xiǎn)評(píng)估過程和結(jié)果文件其他分/子公司可直接采用，以節(jié)省重復(fù)識(shí)別和計(jì)算的工作量B.風(fēng)險(xiǎn)評(píng)估過程中各參數(shù)的賦值一旦確定，不應(yīng)輕易改變，以維持風(fēng)險(xiǎn)評(píng)估的穩(wěn)定性C.組織應(yīng)基于其整體業(yè)務(wù)活動(dòng)所在的環(huán)境和風(fēng)險(xiǎn)考慮其ISMS的設(shè)計(jì)D.以上都對(duì)答案：C解析：信息安全風(fēng)險(xiǎn)評(píng)估是為了識(shí)別、評(píng)估潛在的信息安全風(fēng)險(xiǎn)，為制定風(fēng)險(xiǎn)控制措施提供依據(jù)。對(duì)于選項(xiàng)A，即使集團(tuán)企業(yè)的各地分/子公司業(yè)務(wù)性質(zhì)相同，但由于各公司的具體情況（如系統(tǒng)配置、員工行為等）可能有所不同，因此針對(duì)一個(gè)分/子公司識(shí)別的風(fēng)險(xiǎn)可能不完全適用于其他分/子公司。對(duì)于選項(xiàng)B，風(fēng)險(xiǎn)評(píng)估過程中各參數(shù)的賦值應(yīng)基于實(shí)際情況進(jìn)行，如果情況發(fā)生變化，參數(shù)賦值也應(yīng)相應(yīng)調(diào)整，以維持風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性。對(duì)于選項(xiàng)D，由于A和B的說法都不正確，所以D選項(xiàng)“以上都對(duì)”也是不正確的。因此，正確答案是C，即組織應(yīng)基于其整體業(yè)務(wù)活動(dòng)所在的環(huán)境和風(fēng)險(xiǎn)考慮其ISMS的設(shè)計(jì)。16.GB/T22080-2016/IS0/IEC27001:2013標(biāo)準(zhǔn)附錄A有（）安全域。A.18個(gè)B.16個(gè)C.15個(gè)D.14個(gè)答案：D解析：根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)附錄A的規(guī)定，該標(biāo)準(zhǔn)附錄中明確列出了14個(gè)安全域，因此答案為D，即14個(gè)安全域。其他選項(xiàng)A、B、C均不符合標(biāo)準(zhǔn)附錄A的規(guī)定。17.下列管理評(píng)審的方式，哪個(gè)不滿足標(biāo)準(zhǔn)的要求？（）A.組織外部評(píng)審團(tuán)隊(duì)通過會(huì)議的方式對(duì)管理體系適宜性、有效性和充分性進(jìn)行評(píng)審B.通過網(wǎng)絡(luò)會(huì)議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評(píng)審C.通過逐級(jí)匯報(bào)的方式由最高管理層對(duì)管理體系的有效性和充分性進(jìn)行評(píng)審D.通過材料評(píng)審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評(píng)審答案：A解析：管理評(píng)審是一種重要的質(zhì)量管理體系活動(dòng)，其目的是確保組織的管理體系能夠持續(xù)有效地滿足組織的需求，包括適宜性、充分性和有效性。標(biāo)準(zhǔn)對(duì)管理評(píng)審的要求是應(yīng)由組織的最高管理層來進(jìn)行，并且應(yīng)當(dāng)考慮質(zhì)量管理體系的適宜性、充分性和有效性。選項(xiàng)A提到的是“組織外部評(píng)審團(tuán)隊(duì)通過會(huì)議的方式對(duì)管理體系適宜性、有效性和充分性進(jìn)行評(píng)審”，這種方式不滿足標(biāo)準(zhǔn)的要求，因?yàn)楣芾碓u(píng)審應(yīng)當(dāng)由組織的最高管理層來進(jìn)行，而不是外部評(píng)審團(tuán)隊(duì)。選項(xiàng)B提到的是“通過網(wǎng)絡(luò)會(huì)議的方式組織最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評(píng)審”，這符合標(biāo)準(zhǔn)的要求。選項(xiàng)C提到的是“通過逐級(jí)匯報(bào)的方式由最高管理層對(duì)管理體系的有效性和充分性進(jìn)行評(píng)審”，這也符合標(biāo)準(zhǔn)的要求。選項(xiàng)D提到的是“通過材料評(píng)審的方式由最高管理層進(jìn)行管理體系適宜性、有效性和充分性的評(píng)審”，這也符合標(biāo)準(zhǔn)的要求。因此，不符合標(biāo)準(zhǔn)要求的管理評(píng)審方式是A選項(xiàng)，即“組織外部評(píng)審團(tuán)隊(duì)通過會(huì)議的方式對(duì)管理體系適宜性、有效性和充分性進(jìn)行評(píng)審”。18.下列哪一種情況下，網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)設(shè)（NDP）可用于備份？（）A.需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備（NAS）時(shí)B.不能使用TCP/IP的環(huán)境中C.需要備份舊的備份系統(tǒng)不能處理的文件許可時(shí)D.要保證跨多個(gè)數(shù)據(jù)卷的備份連續(xù)、一致時(shí)答案：A解析：網(wǎng)絡(luò)數(shù)據(jù)管理協(xié)議（NetworkDataManagementProtocol，簡稱NDP）是一種用于管理網(wǎng)絡(luò)數(shù)據(jù)流的協(xié)議，它通常用于在網(wǎng)絡(luò)環(huán)境中進(jìn)行數(shù)據(jù)的備份和恢復(fù)。在需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備（NAS）時(shí)，NDP可以用于備份，因?yàn)镹AS設(shè)備通常通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)存儲(chǔ)和管理，而NDP協(xié)議可以確保數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸和備份的準(zhǔn)確性和可靠性。因此，選項(xiàng)A“需要使用網(wǎng)絡(luò)附加存儲(chǔ)設(shè)備（NAS）時(shí)”是正確答案。其他選項(xiàng)與NDP協(xié)議的應(yīng)用場景不太匹配，所以不是正確答案。19.依據(jù)GB/T22080/IEC27001，不屬于第三方服務(wù)監(jiān)視和評(píng)審范疇的是（）。A.監(jiān)視和評(píng)審服務(wù)級(jí)別協(xié)議的符合性B.監(jiān)視和評(píng)本服務(wù)方人員聘用和考核的流程C.監(jiān)視和解事服務(wù)交付遵從協(xié)議規(guī)定的安全要求的程度D.監(jiān)視和評(píng)審服務(wù)方跟蹤處理信息安全事件的能力答案：B解析：依據(jù)GB/T22080/IEC27001，第三方服務(wù)監(jiān)視和評(píng)審主要包括對(duì)服務(wù)級(jí)別協(xié)議、服務(wù)交付的安全要求以及信息安全事件處理能力的監(jiān)視和評(píng)審。因此，監(jiān)視和評(píng)審服務(wù)方人員聘用和考核的流程并不屬于第三方服務(wù)監(jiān)視和評(píng)審的范疇。因此，答案為B。20.依據(jù)GB/T22080/ISO/IEC27001，制定信息安全管理體系方針，應(yīng)予以考慮的輸入是（）。A.業(yè)務(wù)戰(zhàn)略B.法律法規(guī)要求C.合同要求D.以上全部答案：D解析：依據(jù)GB/T22080/ISO/IEC27001，制定信息安全管理體系方針時(shí)，應(yīng)予以考慮的輸入包括業(yè)務(wù)戰(zhàn)略、法律法規(guī)要求和合同要求。因此，正確答案是“以上全部”，即選項(xiàng)D。21.在信息安全管理體系審核時(shí)，應(yīng)遵循（）原則。A.保密性和基于準(zhǔn)則的B.保密性和基于風(fēng)險(xiǎn)的C.系統(tǒng)性和基于風(fēng)險(xiǎn)的D.系統(tǒng)性和基于準(zhǔn)則的答案：B解析：在信息安全管理體系審核時(shí)，應(yīng)遵循保密性和基于風(fēng)險(xiǎn)的原則。保密性是指確保信息安全管理體系中的敏感信息不被未經(jīng)授權(quán)的人員獲取，而基于風(fēng)險(xiǎn)的原則則是根據(jù)信息安全管理體系面臨的風(fēng)險(xiǎn)來制定和實(shí)施相應(yīng)的審核策略。因此，選項(xiàng)B“保密性和基于風(fēng)險(xiǎn)的”是正確答案。其他選項(xiàng)，如系統(tǒng)性、基于準(zhǔn)則的，并不直接涉及到信息安全管理體系審核的核心原則。22.開發(fā)、測試和（）設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。A.配置B.系統(tǒng)C.終端D.運(yùn)行答案：D解析：在信息安全領(lǐng)域，開發(fā)、測試和運(yùn)行設(shè)施分離是一種重要的安全實(shí)踐。這種分離有助于減少未授權(quán)訪問或改變運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)。選項(xiàng)A“配置”通常指的是對(duì)系統(tǒng)或應(yīng)用的配置過程，而不是設(shè)施；選項(xiàng)B“系統(tǒng)”是一個(gè)更寬泛的術(shù)語，不足以明確指出與開發(fā)和測試設(shè)施相區(qū)別的設(shè)施；選項(xiàng)C“終端”通常指的是用戶與系統(tǒng)交互的界面，也不足以明確指出與開發(fā)和測試設(shè)施相區(qū)別的設(shè)施。因此，選項(xiàng)D“運(yùn)行”最符合題目描述，指的是運(yùn)行系統(tǒng)或應(yīng)用的設(shè)施，與開發(fā)和測試設(shè)施相分離。23.跨國公司的IS經(jīng)理打算把現(xiàn)有的虛擬專用網(wǎng)(VPN)升級(jí)，釆用通道技術(shù)使用其支持語音IP電話、（VOIP）服務(wù)，那么，需要首要關(guān)注的是（）。A.服務(wù)的可靠性和質(zhì)量(QOS，qualityofservice)B.身份的驗(yàn)證方式C.語音傳輸?shù)谋Ｃ蹹.數(shù)據(jù)傳輸?shù)谋Ｃ艽鸢福篈解析：虛擬專用網(wǎng)（VPN）升級(jí)采用通道技術(shù)支持語音IP電話（VOIP）服務(wù)時(shí)，首要關(guān)注的是服務(wù)的可靠性和質(zhì)量（QOS）。因?yàn)榉?wù)的可靠性和質(zhì)量直接影響到語音通話的清晰度和穩(wěn)定性，如果服務(wù)不可靠或質(zhì)量不佳，可能會(huì)導(dǎo)致通話中斷、聲音失真等問題，影響通話效果。因此，首要關(guān)注的是服務(wù)的可靠性和質(zhì)量，確保語音通話的清晰度和穩(wěn)定性。其他選項(xiàng)如身份的驗(yàn)證方式、語音傳輸?shù)谋Ｃ芎蛿?shù)據(jù)傳輸?shù)谋Ｃ茈m然也很重要，但并不是首要關(guān)注的問題。24.密碼技術(shù)可以保護(hù)信息的（）。A.保密性B.完整性C.可用性D.A+B答案：D解析：密碼技術(shù)是一種保護(hù)信息安全的手段，它可以保護(hù)信息的保密性和完整性。保密性是指信息不被未經(jīng)授權(quán)的人員獲取，而完整性是指信息在傳輸過程中不被篡改或損壞。因此，選項(xiàng)D“A+B”即保密性和完整性，是密碼技術(shù)可以保護(hù)的信息屬性。25.下列控制措施中哪個(gè)不是用來確保信息處理設(shè)施可用性的（）。A.建立同城備份B.建立異地備份C.對(duì)設(shè)備中數(shù)據(jù)進(jìn)行定期備份D.釆用雙機(jī)熱備答案：B解析：為了確保信息處理設(shè)施的可用性，通常采取的控制措施包括建立同城備份、對(duì)設(shè)備中數(shù)據(jù)進(jìn)行定期備份以及采用雙機(jī)熱備。建立異地備份雖然也是一種備份策略，但其主要目的是在發(fā)生災(zāi)難性事件時(shí)，確保數(shù)據(jù)的安全性和完整性，而不是直接確保設(shè)施的可用性。因此，選項(xiàng)B“建立異地備份”不是用來確保信息處理設(shè)施可用性的控制措施。26.審核原則要求（）是審核的公正性和審核結(jié)果客觀性的基礎(chǔ)。A.系統(tǒng)性B.嚴(yán)格性C.獨(dú)立性D.可追蹤性答案：C解析：審核原則要求獨(dú)立性是審核的公正性和審核結(jié)果客觀性的基礎(chǔ)。獨(dú)立性意味著審核人員或機(jī)構(gòu)在執(zhí)行審核工作時(shí)，不受任何外部干擾或壓力，能夠客觀、公正地評(píng)估被審核對(duì)象的情況。這種獨(dú)立性保證了審核結(jié)果的客觀性和公正性，使得審核結(jié)果更具可信度和說服力。因此，選項(xiàng)C“獨(dú)立性”是正確答案。27.文件化信息是指（）。A.組織創(chuàng)建的文件B.組織擁有的文件C.組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)D.對(duì)組織有價(jià)值答案：C解析：根據(jù)給出的選項(xiàng)，我們需要確定文件化信息的定義。文件化信息是指組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)。選項(xiàng)A“組織創(chuàng)建的文件”和選項(xiàng)B“組織擁有的文件”只是文件的一種形式，沒有涵蓋到“組織要求控制和維護(hù)的信息”這一核心要素。選項(xiàng)D“對(duì)組織有價(jià)值”雖然提到了價(jià)值，但沒有明確說明是組織要求控制和維護(hù)的信息及包含該信息的介質(zhì)。因此，正確答案是選項(xiàng)C。28.加強(qiáng)網(wǎng)絡(luò)安全性的最重要的基礎(chǔ)措施是（）。A.設(shè)計(jì)有效的網(wǎng)絡(luò)安全策略B.選擇更安全的操作系統(tǒng)C.安裝殺毒軟件D.加強(qiáng)安全教育答案：A解析：網(wǎng)絡(luò)安全性的基礎(chǔ)措施是設(shè)計(jì)有效的網(wǎng)絡(luò)安全策略。有效的網(wǎng)絡(luò)安全策略能夠指導(dǎo)組織和個(gè)人如何保護(hù)其網(wǎng)絡(luò)資產(chǎn)，包括數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)設(shè)施，從而確保網(wǎng)絡(luò)的安全性。選擇更安全的操作系統(tǒng)、安裝殺毒軟件和加強(qiáng)安全教育都是重要的補(bǔ)充措施，但它們不能替代設(shè)計(jì)有效的網(wǎng)絡(luò)安全策略作為最基礎(chǔ)的措施。因此，設(shè)計(jì)有效的網(wǎng)絡(luò)安全策略是加強(qiáng)網(wǎng)絡(luò)安全性的最重要的基礎(chǔ)措施。29.在形成信息安全管理體系審核發(fā)現(xiàn)時(shí)，應(yīng)（）。A.考慮適用性聲明的完備性和可用性B.考慮適用性聲明的完備性和合理性C.考慮適用性聲明的充分性和可用性D.考慮適用性聲明的充分性和合理性答案：B解析：在形成信息安全管理體系審核發(fā)現(xiàn)時(shí)，應(yīng)考慮適用性聲明的完備性和合理性。這是因?yàn)橥陚湫灾傅氖沁m用性聲明是否涵蓋了所有相關(guān)的信息安全管理體系要素，而合理性則是指適用性聲明是否符合實(shí)際情況，是否具有可行性。因此，選項(xiàng)B“考慮適用性聲明的完備性和合理性”是正確的。選項(xiàng)A“考慮適用性聲明的完備性和可用性”和選項(xiàng)C“考慮適用性聲明的充分性和可用性”中的“可用性”和“充分性”在題目中并未提及，因此不是正確答案。選項(xiàng)D“考慮適用性聲明的充分性和合理性”中的“充分性”也與題目中的“完備性”相重復(fù)，因此也不是正確答案。30.由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、審核的認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)是（）。A.認(rèn)證B.認(rèn)可C.審核D.評(píng)審答案：B解析：題目中提到的“由認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證機(jī)構(gòu)、檢測機(jī)構(gòu)、實(shí)驗(yàn)室從事評(píng)審、審核的認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格，予以承認(rèn)的合格評(píng)定活動(dòng)”描述的是認(rèn)可機(jī)構(gòu)對(duì)認(rèn)證活動(dòng)人員的能力和執(zhí)業(yè)資格進(jìn)行承認(rèn)的過程。在認(rèn)證、認(rèn)可、審核和評(píng)審中，認(rèn)可是指權(quán)威機(jī)構(gòu)對(duì)機(jī)構(gòu)或人員的能力、資格、結(jié)果等進(jìn)行承認(rèn)的行為。因此，答案為B，即認(rèn)可。31.在進(jìn)行技術(shù)符合性評(píng)審時(shí)，以下說法正確的是（）。A.技術(shù)符合性評(píng)審即滲透測試B.技術(shù)符合性評(píng)審即漏洞掃描與滲透測試的結(jié)合C.滲透測試和漏洞掃描可以替代風(fēng)險(xiǎn)評(píng)估D.滲透測試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估答案：D解析：技術(shù)符合性評(píng)審是一個(gè)全面的過程，用于評(píng)估技術(shù)系統(tǒng)或產(chǎn)品是否符合預(yù)定的標(biāo)準(zhǔn)、規(guī)范或要求。滲透測試和漏洞掃描是其中的一部分，它們可以幫助發(fā)現(xiàn)潛在的安全漏洞，但并不能完全替代風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是一個(gè)更廣泛的過程，它考慮了多種因素，包括技術(shù)、操作、物理和環(huán)境等，以全面評(píng)估系統(tǒng)的安全性和風(fēng)險(xiǎn)。因此，滲透測試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估，而是作為其中的一部分。所以，選項(xiàng)D“滲透測試和漏洞掃描不可替代風(fēng)險(xiǎn)評(píng)估”是正確的說法。32.關(guān)于信息安全管理體系認(rèn)證，以下說法正確的是（）。A.負(fù)責(zé)作出認(rèn)證決定的人員中應(yīng)至少有一人參與了審核B.負(fù)責(zé)作出認(rèn)證決定的人員必須是審核組組長C.負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核D.負(fù)責(zé)作出認(rèn)證決定的人員應(yīng)包含參與了預(yù)審核的人員答案：C解析：信息安全管理體系認(rèn)證中，負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核。這是為了確保審核的公正性和獨(dú)立性。審核組組長雖然重要，但并不能單獨(dú)作出認(rèn)證決定，參與預(yù)審核的人員也不一定是作出認(rèn)證決定的人員。因此，選項(xiàng)C“負(fù)責(zé)作出認(rèn)證決定的人員不應(yīng)參與審核”是正確的。33.依據(jù)GB/T22O80-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，組織應(yīng)（）。A.識(shí)別在組織范圍內(nèi)從事會(huì)影響組織信息安全績效的員工的必要能力B.確保在組織控制下從事會(huì)影響組織信息安全績效的員工的必要能力C.確定在組織控制下從事會(huì)影響組織信息安全績效的工作人員的必要能力D.鑒定在組織控制下從事會(huì)影響組織信息安全績效的工作人員的必要能力答案：C解析：在GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中，關(guān)于組織應(yīng)如何管理影響信息安全績效的員工能力，標(biāo)準(zhǔn)明確指出：“組織應(yīng)確定在組織控制下從事會(huì)影響組織信息安全績效的工作人員的必要能力”。這一條款明確了組織在信息安全方面的職責(zé)，即需要識(shí)別、評(píng)估和控制那些對(duì)信息安全績效產(chǎn)生影響的員工。選項(xiàng)A的“識(shí)別”并不完全符合標(biāo)準(zhǔn)中的要求，因?yàn)樽R(shí)別只是第一步，組織還需要確定這些員工的必要能力；選項(xiàng)B的“確保”一詞過于模糊，沒有明確指出組織應(yīng)如何確保這些員工的必要能力；選項(xiàng)D的“鑒定”與標(biāo)準(zhǔn)中的“確定”含義不符。因此，正確答案是C，即“確定在組織控制下從事會(huì)影響組織信息安全績效的工作人員的必要能力”。34.審核計(jì)劃中不應(yīng)包括（）。A.本次及其后續(xù)審核的時(shí)間安排B.審核準(zhǔn)則C.審核組成員及分工D.審核的日程安排答案：A解析：在審核計(jì)劃中，審核準(zhǔn)則、審核組成員及分工、審核的日程安排等信息通常會(huì)被明確列出。但是，本次及其后續(xù)審核的時(shí)間安排并不屬于審核計(jì)劃的內(nèi)容。審核計(jì)劃主要是為審核活動(dòng)提供一個(gè)框架和指導(dǎo)，而時(shí)間安排通常會(huì)在具體的審核任務(wù)或活動(dòng)安排中詳細(xì)規(guī)劃。因此，選項(xiàng)A“本次及其后續(xù)審核的時(shí)間安排”不應(yīng)包括在審核計(jì)劃中。35.在現(xiàn)場審核時(shí)，審核組待枚自行決定變更的事項(xiàng)是（）。A.審核人日B.入審核的業(yè)務(wù)范圍C.審核日期D.審核組任務(wù)調(diào)整答案：D解析：根據(jù)審核的相關(guān)規(guī)定，審核組在進(jìn)行現(xiàn)場審核時(shí)，應(yīng)當(dāng)遵循事先確定的審核計(jì)劃，包括審核的范圍、日期、任務(wù)等。然而，在現(xiàn)場審核過程中，如果確實(shí)需要變更某些事項(xiàng)，審核組有權(quán)自行決定，但這些變更應(yīng)當(dāng)在保持審核的公正性和有效性的前提下進(jìn)行。在這些可變更的事項(xiàng)中，審核組任務(wù)調(diào)整是一個(gè)例外，因?yàn)樗婕暗綄徍擞?jì)劃的核心內(nèi)容，審核組有權(quán)根據(jù)現(xiàn)場實(shí)際情況自行決定調(diào)整審核任務(wù)，以確保審核的順利進(jìn)行。因此，正確答案是D，即審核組任務(wù)調(diào)整。36.關(guān)于信息安全管理中的“完整性”，以下說法正確的是（）。A.數(shù)據(jù)未被非授權(quán)變更或銷毀，意味著保持了完整性B.系統(tǒng)增加了較以前更強(qiáng)的功能但未得到授權(quán)，不屬于完整性受損C.硬件維修時(shí)，如使用同型號(hào)、同規(guī)格的部件更換備件，不需要授權(quán)D.以上都對(duì)答案：A解析：選項(xiàng)A“數(shù)據(jù)未被非授權(quán)變更或銷毀，意味著保持了完整性”是正確的。保持完整性意味著數(shù)據(jù)或系統(tǒng)在沒有得到授權(quán)的情況下不會(huì)被更改或銷毀，這是信息安全管理中的一項(xiàng)重要原則。選項(xiàng)B“系統(tǒng)增加了較以前更強(qiáng)的功能但未得到授權(quán)，不屬于完整性受損”是錯(cuò)誤的。即使系統(tǒng)增加了功能，但如果沒有得到授權(quán)，這仍然可能破壞系統(tǒng)的完整性。選項(xiàng)C“硬件維修時(shí)，如使用同型號(hào)、同規(guī)格的部件更換備件，不需要授權(quán)”也是錯(cuò)誤的。在信息安全管理中，即使是更換同型號(hào)、同規(guī)格的部件，也需要得到授權(quán)，以確保系統(tǒng)的完整性和安全性。因此，選項(xiàng)D“以上都對(duì)”也是錯(cuò)誤的。只有選項(xiàng)A是正確的。37.在運(yùn)行階段，組織應(yīng)（）。A.策劃信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息B.實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息C.測量信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息D.改進(jìn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息答案：B解析：在信息安全管理體系的運(yùn)行階段，組織應(yīng)實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，并保留相關(guān)的文件化信息。這是因?yàn)樵谶\(yùn)行階段，組織需要將策劃好的信息安全風(fēng)險(xiǎn)處置計(jì)劃付諸實(shí)施，確保信息安全風(fēng)險(xiǎn)得到有效控制。同時(shí)，保留文件化信息有助于組織對(duì)信息安全風(fēng)險(xiǎn)處置計(jì)劃的執(zhí)行情況進(jìn)行跟蹤和審計(jì)，確保信息安全管理體系的有效運(yùn)行。因此，選項(xiàng)B“實(shí)現(xiàn)信息安全風(fēng)險(xiǎn)處置計(jì)劃，保留文件化信息”是正確的選擇。38.對(duì)于可能超越系統(tǒng)和應(yīng)用控制的實(shí)用程序，以下說法正確的是（）。A.實(shí)用程序的使用不在審計(jì)范圍內(nèi)B.建立禁止使用的實(shí)用程序清單C.應(yīng)急響應(yīng)時(shí)需使用的實(shí)用程序不需額外授權(quán)D.建立鑒別、授權(quán)機(jī)制和許可使用的實(shí)用程序清單答案：D解析：對(duì)于可能超越系統(tǒng)和應(yīng)用控制的實(shí)用程序，應(yīng)建立鑒別、授權(quán)機(jī)制和許可使用的實(shí)用程序清單，以確保使用的合法性和安全性。選項(xiàng)A錯(cuò)誤，實(shí)用程序的使用應(yīng)在審計(jì)范圍內(nèi)，以確保其合規(guī)性；選項(xiàng)B錯(cuò)誤，建立禁止使用的實(shí)用程序清單并不能完全解決問題，因?yàn)榭赡艽嬖诶@過禁止的情況；選項(xiàng)C錯(cuò)誤，應(yīng)急響應(yīng)時(shí)需使用的實(shí)用程序同樣需要額外授權(quán)，以確保安全。因此，正確答案為D。39.對(duì)于信息安全方針，以下哪個(gè)不是GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)所要求的（）。A.信息安全方針應(yīng)形成文件B.信息安全方針文件應(yīng)由管理者批準(zhǔn)發(fā)布，并傳達(dá)給所有員工和外部相關(guān)方C.信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義D.信息安全方針應(yīng)定期實(shí)施評(píng)審答案：D解析：在信息安全管理體系（ISMS）中，信息安全方針是組織關(guān)于信息安全管理的指導(dǎo)原則和方向。根據(jù)GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)，信息安全方針應(yīng)形成文件，并由管理者批準(zhǔn)發(fā)布，傳達(dá)給所有員工和外部相關(guān)方。同時(shí)，信息安全方針文件應(yīng)包括對(duì)信息安全管理的一般和特定職責(zé)的定義。然而，題目中提到的“信息安全方針應(yīng)定期實(shí)施評(píng)審”并不是該標(biāo)準(zhǔn)所明確要求的。因此，選項(xiàng)D“信息安全方針應(yīng)定期實(shí)施評(píng)審”是不符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)的內(nèi)容。40.管理評(píng)審是為了確保信息安全管理體系持續(xù)的（）。A.適宜性B.充分性C.有效性D.以上都是答案：D解析：管理評(píng)審是為了確保信息安全管理體系持續(xù)的適宜性、充分性和有效性。適宜性指的是管理體系是否適合組織的業(yè)務(wù)需求和目標(biāo)；充分性指的是管理體系是否具備足夠的資源和能力來支持其運(yùn)行；有效性指的是管理體系是否能夠?qū)崿F(xiàn)預(yù)期的效果。因此，選項(xiàng)D“以上都是”是正確的。41.下列哪個(gè)選項(xiàng)不屬于審核組長的職責(zé)？（）A.確定審核的需要和目的B.組織編制現(xiàn)場審核有關(guān)的工作文件C.主持首末次會(huì)議和審核組會(huì)議D.代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通答案：A解析：根據(jù)審核組長的職責(zé)，其主要負(fù)責(zé)審核的組織和協(xié)調(diào)，確保審核的順利進(jìn)行。選項(xiàng)A“確定審核的需要和目的”通常是審核委托方或?qū)徍藱C(jī)構(gòu)的任務(wù)，而不是審核組長的職責(zé)。因此，選項(xiàng)A不屬于審核組長的職責(zé)。選項(xiàng)B“組織編制現(xiàn)場審核有關(guān)的工作文件”是審核組長需要組織的工作之一，以確保審核的順利進(jìn)行。選項(xiàng)C“主持首末次會(huì)議和審核組會(huì)議”是審核組長需要主持的重要會(huì)議，以確保審核組內(nèi)部的溝通和協(xié)調(diào)。選項(xiàng)D“代表審核方與受審核方領(lǐng)導(dǎo)進(jìn)行溝通”是審核組長需要與受審核方領(lǐng)導(dǎo)進(jìn)行的重要溝通，以確保審核的順利進(jìn)行。因此，正確答案是A。42.最高管理層應(yīng)（），以確保信息安全管理體索符合本標(biāo)準(zhǔn)要求。A.分配職責(zé)與權(quán)限B.分配崗位與權(quán)限C.分配責(zé)任和權(quán)限D(zhuǎn).分配角色和權(quán)限答案：C解析：在信息安全管理體系中，最高管理層應(yīng)分配責(zé)任和權(quán)限，以確保信息安全管理體系符合標(biāo)準(zhǔn)要求。這是因?yàn)樽罡吖芾韺幼鳛槠髽I(yè)的決策者和領(lǐng)導(dǎo)者，需要明確其在信息安全管理體系中的責(zé)任和權(quán)限，以便能夠有效地推動(dòng)信息安全管理體系的建立、實(shí)施和改進(jìn)。因此，選項(xiàng)C“分配責(zé)任和權(quán)限”是正確答案。選項(xiàng)A“分配職責(zé)與權(quán)限”和選項(xiàng)B“分配崗位與權(quán)限”雖然與責(zé)任和權(quán)限有關(guān)，但不如選項(xiàng)C明確和準(zhǔn)確。選項(xiàng)D“分配角色和權(quán)限”則與信息安全管理體系的標(biāo)準(zhǔn)要求不符。43.防止計(jì)算機(jī)中信息被動(dòng)來取的手段不包括（）。A.用戶識(shí)別B.權(quán)限控制C.數(shù)據(jù)加密D.病毒控制答案：D解析：在計(jì)算機(jī)信息安全領(lǐng)域，防止信息被動(dòng)獲取的手段通常包括用戶識(shí)別、權(quán)限控制和數(shù)據(jù)加密。用戶識(shí)別用于確認(rèn)用戶的身份，確保只有授權(quán)的用戶能夠訪問信息。權(quán)限控制則是根據(jù)用戶的角色和職責(zé)，賦予他們適當(dāng)?shù)脑L問權(quán)限。數(shù)據(jù)加密則是對(duì)信息進(jìn)行編碼，使未授權(quán)的用戶無法讀取。而病毒控制主要是為了防止計(jì)算機(jī)受到惡意軟件的攻擊，與防止信息被動(dòng)獲取的手段不直接相關(guān)。因此，選項(xiàng)D“病毒控制”是不包括在防止計(jì)算機(jī)中信息被動(dòng)獲取的手段中的。44.訪問控制是為了保護(hù)信息的（）。A.完格性和機(jī)密性B.可用性和機(jī)密性C.可用性和完整性D.以上都是答案：A解析：訪問控制是保護(hù)信息安全的一種重要手段，其主要目的是確保信息的完整性和機(jī)密性。完整性指的是信息在傳輸或存儲(chǔ)過程中不被篡改或破壞，而機(jī)密性則是指信息只能被授權(quán)的用戶訪問，不會(huì)被未經(jīng)授權(quán)的用戶獲取。因此，選項(xiàng)A“完整性和機(jī)密性”是正確的答案。其他選項(xiàng)如“可用性”雖然也是信息安全的重要方面，但并不是訪問控制直接關(guān)注的核心，因此不是最佳答案。45.關(guān)于互聯(lián)網(wǎng)信息服務(wù)，以下說法正確的是（）。A.互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案B.非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行C.從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求D.經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動(dòng)答案：C解析：本題主要考察互聯(lián)網(wǎng)信息服務(wù)的相關(guān)法規(guī)知識(shí)。A選項(xiàng)提到“互聯(lián)網(wǎng)服務(wù)分為經(jīng)營性和非經(jīng)營性兩類，其中經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)應(yīng)當(dāng)在電信主管部門備案”，但實(shí)際上，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定的是“互聯(lián)網(wǎng)信息服務(wù)分為經(jīng)營性和非經(jīng)營性兩類”，并且“從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)當(dāng)獲得增值電信業(yè)務(wù)經(jīng)營許可證；未經(jīng)許可或未履行備案手續(xù)，不得從事互聯(lián)網(wǎng)信息服務(wù)”。所以A選項(xiàng)錯(cuò)誤。B選項(xiàng)提到“非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)未取得許可不得進(jìn)行”，但實(shí)際上，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》規(guī)定的是“非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度”，即非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)在取得備案后是可以進(jìn)行的。所以B選項(xiàng)錯(cuò)誤。C選項(xiàng)提到“從事經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，應(yīng)符合《中華人民共和國電信條例》規(guī)定的要求”，這是符合《互聯(lián)網(wǎng)信息服務(wù)管理辦法》的規(guī)定的，所以C選項(xiàng)正確。D選項(xiàng)提到“經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)，是指通過互聯(lián)網(wǎng)向上網(wǎng)用戶無償提供具有公開性、共享性信息的服務(wù)活動(dòng)”，但實(shí)際上，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》對(duì)經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)的定義是“通過互聯(lián)網(wǎng)向上網(wǎng)用戶有償提供信息或者網(wǎng)上服務(wù)等經(jīng)營活動(dòng)或者其他商業(yè)行為”，與D選項(xiàng)不符，所以D選項(xiàng)錯(cuò)誤。因此，正確答案是C選項(xiàng)。46.組織應(yīng)（），以確信相關(guān)過程按計(jì)劃得到執(zhí)行。A.處理文件化信息達(dá)到必要的程度B.保持文件化信息達(dá)到必要的程度C.保持文件化信息達(dá)到可用的程度D.產(chǎn)生文件化信息達(dá)到必要的程度答案：B解析：在質(zhì)量管理體系中，組織需要確保相關(guān)過程按計(jì)劃得到執(zhí)行。為了達(dá)到這一目的，組織需要保持文件化信息達(dá)到必要的程度。文件化信息包括程序、規(guī)程、記錄等，它們對(duì)于確保過程的有效執(zhí)行至關(guān)重要。因此，選項(xiàng)B“保持文件化信息達(dá)到必要的程度”是正確的選擇。其他選項(xiàng)如處理、產(chǎn)生文件化信息雖然也是重要的活動(dòng)，但在此上下文中，保持文件化信息達(dá)到必要的程度更為直接和關(guān)鍵。47.在信息安全管理體系（）階段應(yīng)測量控制措施的有效性？A.建立B.實(shí)施和運(yùn)行C.監(jiān)視和評(píng)審D.保持和改進(jìn)答案：C解析：在信息安全管理體系中，監(jiān)視和評(píng)審階段應(yīng)測量控制措施的有效性。這是為了確?？刂拼胧┠軌虬凑疹A(yù)期的方式運(yùn)行，并有效地防止?jié)撛诘陌踩{和攻擊。監(jiān)視和評(píng)審階段會(huì)對(duì)控制措施的效果進(jìn)行持續(xù)的檢查和評(píng)估，以確保信息安全管理體系的有效性和可靠性。因此，正確答案是C選項(xiàng)，即“監(jiān)視和評(píng)審”。48.關(guān)于GB/T22081標(biāo)準(zhǔn)，以下說法正確的是（）。A.提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)B.提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)C.提供了信息安全風(fēng)險(xiǎn)評(píng)估的指南，是ISO/IEC27001的構(gòu)成部分D.提供了信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)，是實(shí)施ISO/IEC27000的支持性標(biāo)準(zhǔn)答案：B解析：根據(jù)題目給出的選項(xiàng)，我們需要判斷哪個(gè)選項(xiàng)關(guān)于GB/T22081標(biāo)準(zhǔn)的說法是正確的。A選項(xiàng)提到“提供了選擇控制措施的指南，可用作信息安全管理體系認(rèn)證的依據(jù)”，但題目中并未明確說明GB/T22081標(biāo)準(zhǔn)可以用作信息安全管理體系認(rèn)證的依據(jù)，因此A選項(xiàng)不正確。B選項(xiàng)說“提供了選擇控制措施的指南，不可用作信息安全管理體系認(rèn)證的依據(jù)”，這與題目中的描述是一致的，因?yàn)轭}目中并沒有提到GB/T22081標(biāo)準(zhǔn)可以用作信息安全管理體系認(rèn)證的依據(jù)，所以B選項(xiàng)是正確的。C選項(xiàng)提到“提供了信息安全風(fēng)險(xiǎn)評(píng)估的指南，是ISO/IEC27001的構(gòu)成部分”，但題目中并未明確說明GB/T22081標(biāo)準(zhǔn)與ISO/IEC27001的關(guān)系，因此C選項(xiàng)不正確。D選項(xiàng)說“提供了信息安全風(fēng)險(xiǎn)評(píng)估的依據(jù)，是實(shí)施ISO/IEC27000的支持性標(biāo)準(zhǔn)”，同樣，題目中并沒有提到GB/T22081標(biāo)準(zhǔn)與ISO/IEC27000的關(guān)系，因此D選項(xiàng)也不正確。綜上所述，正確答案是B選項(xiàng)。49.關(guān)于不符合，下列說法錯(cuò)誤的是（）。A.確定不符合發(fā)現(xiàn)的原因B.必須確定不符合的糾正措施C.記錄釆取措施的結(jié)果D.評(píng)價(jià)糾正措施答案：B解析：本題考察的是不符合處理的相關(guān)知識(shí)。不符合發(fā)現(xiàn)后，應(yīng)首先確定不符合的原因，然后確定糾正措施，并記錄采取措施的結(jié)果，最后評(píng)價(jià)糾正措施的有效性。選項(xiàng)B“必須確定不符合的糾正措施”錯(cuò)誤，糾正措施并不是必須的，而是在確定了不符合的原因后，根據(jù)實(shí)際情況采取的，所以選項(xiàng)B是錯(cuò)誤的。選項(xiàng)A“確定不符合發(fā)現(xiàn)的原因”、選項(xiàng)C“記錄采取措施的結(jié)果”和選項(xiàng)D“評(píng)價(jià)糾正措施”均符合不符合處理的正確流程，故不選。50.下列措施中哪一個(gè)是用來記錄事態(tài)并生產(chǎn)證據(jù)的（）。A.時(shí)鐘同步B.信息備份C.軟件安裝限制D.信息系統(tǒng)審計(jì)的控制答案：A解析：根據(jù)題目要求，我們需要找到一種用來記錄事態(tài)并生產(chǎn)證據(jù)的措施。在給出的選項(xiàng)中：A.時(shí)鐘同步-這是用來確保各個(gè)系統(tǒng)或設(shè)備的時(shí)間同步，以便于在出現(xiàn)問題時(shí)能夠準(zhǔn)確地追溯和定位，但它本身并不直接記錄事態(tài)或生產(chǎn)證據(jù)。B.信息備份-信息備份是確保數(shù)據(jù)安全的一種重要手段，當(dāng)原始數(shù)據(jù)丟失或損壞時(shí)，備份數(shù)據(jù)可以用來恢復(fù)或重建。同時(shí)，備份數(shù)據(jù)也可以作為證據(jù)使用，因?yàn)樗涗浟耸聭B(tài)的發(fā)展過程，并為可能的問題或爭議提供了證據(jù)。C.軟件安裝限制-這是為了限制或控制軟件安裝的一種措施，與記錄事態(tài)或生產(chǎn)證據(jù)沒有直接關(guān)系。D.信息系統(tǒng)審計(jì)的控制-這是對(duì)信息系統(tǒng)進(jìn)行審計(jì)和控制的措施，雖然審計(jì)過程中可能會(huì)發(fā)現(xiàn)并記錄一些事態(tài)，但它本身并不是用來記錄事態(tài)或生產(chǎn)證據(jù)的直接手段。綜上所述，只有B選項(xiàng)“信息備份”符合題目要求，因?yàn)樗粌H記錄了事態(tài)的發(fā)展過程，而且為可能的問題或爭議提供了證據(jù)。因此，正確答案是B.信息備份。多選題（共20題，共20分）51.對(duì)于信息安全方針，（）。A.形成文件化信息并可用B.與組織內(nèi)外相關(guān)方全面進(jìn)行溝通C.確保符合組織的戰(zhàn)略方針D.適當(dāng)時(shí)，對(duì)相關(guān)方可用答案：ACD解析：信息安全方針需要形成文件化信息并可用，以確保其明確性和一致性。同時(shí)，信息安全方針需要確保符合組織的戰(zhàn)略方針，以確保與組織整體目標(biāo)和策略的一致性。在適當(dāng)時(shí)，信息安全方針還需要與相關(guān)方進(jìn)行溝通，以確保各方對(duì)信息安全方針的理解和遵守。因此，選項(xiàng)A、C和D都是正確的。選項(xiàng)B“與組織內(nèi)外相關(guān)方全面進(jìn)行溝通”雖然是一個(gè)重要的方面，但不是信息安全方針本身的內(nèi)容，而是實(shí)施信息安全方針時(shí)需要考慮的因素。因此，選項(xiàng)B是不正確的。52.為確保員工和合同方理解其職責(zé)、并適合其角色，在員工任用之前，必須（）。A.對(duì)其進(jìn)行試用B.對(duì)員工的背景進(jìn)行適當(dāng)驗(yàn)證檢查C.在任用條款和合同中指明安全職責(zé)D.面試答案：BC解析：首先，我們要明確題目的核心要求：確保員工和合同方理解其職責(zé)并適合其角色。這涉及到在任用之前，公司需要采取哪些措施來確保員工的資質(zhì)和職責(zé)明確。A選項(xiàng)“對(duì)其進(jìn)行試用”雖然是一種評(píng)估員工能力的方式，但它并不能確保員工理解其職責(zé)并適合其角色。試用期間，員工可能只是嘗試性地工作，并不一定能完全理解其職責(zé)。B選項(xiàng)“對(duì)員工的背景進(jìn)行適當(dāng)驗(yàn)證檢查”是一個(gè)重要的步驟。通過背景調(diào)查，公司可以了解員工的學(xué)歷、工作經(jīng)驗(yàn)、個(gè)人品質(zhì)等，從而判斷其是否適合擔(dān)任該職位。C選項(xiàng)“在任用條款和合同中指明安全職責(zé)”也是一個(gè)必要的步驟。明確的安全職責(zé)可以確保員工知道他們在工作中需要承擔(dān)的責(zé)任，從而更好地履行其角色。D選項(xiàng)“面試”雖然是一個(gè)常規(guī)的招聘步驟，但它并不能保證員工理解其職責(zé)并適合其角色。面試更多地是了解應(yīng)聘者的基本信息和求職動(dòng)機(jī)，而不是確保他們適合該職位。綜上所述，為確保員工和合同方理解其職責(zé)并適合其角色，在員工任用之前，公司需要對(duì)員工的背景進(jìn)行適當(dāng)驗(yàn)證檢查，并在任用條款和合同中指明安全職責(zé)。因此，正確答案為B和C。53.以下屬于信息安全管理體系審核的證據(jù)是（）。A.信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)B.信息系統(tǒng)的閾值列表C.數(shù)據(jù)恢復(fù)測試的日志D.信息系統(tǒng)漏洞測試分析報(bào)告答案：ABCD解析：信息安全管理體系審核的證據(jù)應(yīng)當(dāng)能夠證明信息安全管理體系的有效性和符合性。A選項(xiàng)“信息系統(tǒng)運(yùn)行監(jiān)控中心顯示的實(shí)時(shí)資源占用數(shù)據(jù)”是信息系統(tǒng)運(yùn)行監(jiān)控的直接證據(jù)，能夠反映系統(tǒng)的實(shí)時(shí)運(yùn)行狀況，是審核證據(jù)之一。B選項(xiàng)“信息系統(tǒng)的閾值列表”是信息系統(tǒng)安全策略的一部分，能夠證明系統(tǒng)對(duì)于各種資源使用、安全事件的閾值設(shè)置情況，也是審核證據(jù)之一。C選項(xiàng)“數(shù)據(jù)恢復(fù)測試的日志”記錄了數(shù)據(jù)恢復(fù)測試的過程和結(jié)果，能夠證明數(shù)據(jù)恢復(fù)的有效性和可靠性，同樣是審核證據(jù)。D選項(xiàng)“信息系統(tǒng)漏洞測試分析報(bào)告”記錄了信息系統(tǒng)漏洞測試的過程和結(jié)果，能夠證明系統(tǒng)漏洞的存在和修復(fù)情況，也是審核證據(jù)之一。因此，A、B、C、D四個(gè)選項(xiàng)都屬于信息安全管理體系審核的證據(jù)。54.按覆蓋的地理范圍進(jìn)行分類，計(jì)算機(jī)網(wǎng)絡(luò)可分為（）。A.局域網(wǎng)B.城域網(wǎng)C.廣域網(wǎng)D.區(qū)域網(wǎng)答案：ABC解析：計(jì)算機(jī)網(wǎng)絡(luò)按照覆蓋的地理范圍進(jìn)行分類，可以分為局域網(wǎng)（LocalAreaNetwork，LAN）、城域網(wǎng)（MetropolitanAreaNetwork，MAN）和廣域網(wǎng)（WideAreaNetwork，WAN）。局域網(wǎng)通常覆蓋范圍較小，如一個(gè)建筑物或校園；城域網(wǎng)覆蓋范圍稍大，通常是一個(gè)城市或地區(qū)；廣域網(wǎng)覆蓋范圍最廣，可以跨越多個(gè)城市、省份甚至國家。因此，選項(xiàng)A、B、C都是正確的，而選項(xiàng)D“區(qū)域網(wǎng)”不是標(biāo)準(zhǔn)的分類，因此不正確。55.組織建立的信息安全目標(biāo)，應(yīng)（）。A.是可測量的B.與信息安全方針一致C.得到溝通D.適當(dāng)時(shí)更新答案：BCD解析：根據(jù)題目描述，組織建立的信息安全目標(biāo)應(yīng)該與信息安全方針保持一致，確保所有相關(guān)人員都了解并遵循這些目標(biāo)。同時(shí)，這些目標(biāo)應(yīng)該得到適當(dāng)?shù)臏贤?，以便所有相關(guān)人員都能夠理解并參與其中。此外，信息安全目標(biāo)應(yīng)根據(jù)組織的需要和變化適當(dāng)更新，以確保其持續(xù)有效性和適用性。因此，選項(xiàng)BCD是正確的答案。56.含有敏感信息的設(shè)備的處置可釆?。ǎ?。A.格式化處理B.釆取使原始信息不可獲取的技術(shù)破壞或刪除C.多次的寫覆蓋D.徹底摧毀答案：BCD解析：在處理含有敏感信息的設(shè)備時(shí)，為了確保信息的安全性和保密性，需要采取一系列措施來確保原始信息無法獲取。這些措施包括技術(shù)破壞或刪除、多次的寫覆蓋以及徹底摧毀。技術(shù)破壞或刪除可以通過特定的技術(shù)手段使原始信息變得不可獲取，從而保護(hù)敏感信息不被泄露。多次的寫覆蓋可以通過反復(fù)寫入數(shù)據(jù)來覆蓋原有的敏感信息，使得原始信息無法恢復(fù)。徹底摧毀則是一種極端的方式，通過物理手段徹底銷毀設(shè)備，確保敏感信息無法被獲取。因此，選項(xiàng)B、C和D都是正確的選擇。57.關(guān)于審核方案，以下說法正確的是（）。A.審核方案是審核計(jì)劃的一種B.審核方案可包括一段時(shí)期內(nèi)各種類型的審核C.審核方案即年度內(nèi)部審核計(jì)劃D.審核方案是審核計(jì)劃的輸入答案：BD解析：A選項(xiàng)：審核方案是審核計(jì)劃的一種。這個(gè)說法是不準(zhǔn)確的。審核方案是對(duì)審核計(jì)劃的一種描述或規(guī)劃，它通常包含審核的目的、范圍、頻次、方法等，但并非審核計(jì)劃的一種。B選項(xiàng)：審核方案可包括一段時(shí)期內(nèi)各種類型的審核。這個(gè)說法是正確的。審核方案可以涵蓋一段時(shí)間內(nèi)各種類型的審核，包括內(nèi)部審核、外部審核、過程審核等。C選項(xiàng)：審核方案即年度內(nèi)部審核計(jì)劃。這個(gè)說法是不準(zhǔn)確的。審核方案是一個(gè)更廣泛的概念，可以包括不同類型的審核，而不僅僅是年度內(nèi)部審核計(jì)劃。D選項(xiàng)：審核方案是審核計(jì)劃的輸入。這個(gè)說法是正確的。審核方案為審核計(jì)劃提供了必要的信息和指導(dǎo)，是制定審核計(jì)劃的重要依據(jù)。因此，正確答案為BD。58.風(fēng)險(xiǎn)評(píng)估過程一般應(yīng)包括（）。A.風(fēng)險(xiǎn)識(shí)別B.風(fēng)險(xiǎn)分析C.風(fēng)險(xiǎn)評(píng)價(jià)D.風(fēng)險(xiǎn)處置答案：ABC解析：根據(jù)風(fēng)險(xiǎn)評(píng)估的常規(guī)流程，風(fēng)險(xiǎn)評(píng)估過程通常包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)三個(gè)主要步驟。風(fēng)險(xiǎn)識(shí)別是確定可能存在的風(fēng)險(xiǎn)來源和類型；風(fēng)險(xiǎn)分析是對(duì)識(shí)別的風(fēng)險(xiǎn)進(jìn)行量化評(píng)估，包括風(fēng)險(xiǎn)的可能性和影響程度；風(fēng)險(xiǎn)評(píng)價(jià)則是基于風(fēng)險(xiǎn)分析的結(jié)果，對(duì)風(fēng)險(xiǎn)進(jìn)行整體的評(píng)價(jià)和排序。因此，選項(xiàng)A、B和C都是風(fēng)險(xiǎn)評(píng)估過程的一部分。選項(xiàng)D中的風(fēng)險(xiǎn)處置并不屬于風(fēng)險(xiǎn)評(píng)估過程，而是風(fēng)險(xiǎn)應(yīng)對(duì)的一部分，故不選。59.管理評(píng)審的輸出應(yīng)包括（）。A.與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定B.變更信息安全管理體系的任何需求C.相美的反饋D.氣息安全方針執(zhí)行情況答案：AB解析：根據(jù)管理評(píng)審的定義和目的，其輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定和變更信息安全管理體系的任何需求。管理評(píng)審的目的是評(píng)價(jià)信息安全管理體系的適宜性、充分性和有效性，識(shí)別可能的改進(jìn)領(lǐng)域，以及評(píng)估是否需要更改信息安全管理體系。因此，輸出的內(nèi)容應(yīng)當(dāng)圍繞這兩方面進(jìn)行展開。而“相關(guān)的反饋”和“信息安全方針執(zhí)行情況”雖然與信息安全管理體系有關(guān)，但并不屬于管理評(píng)審的直接輸出。因此，答案選項(xiàng)C和D均不符合管理評(píng)審的輸出內(nèi)容。60.以下屬于“信息處理設(shè)施”的是（）。A.信息處理系統(tǒng)B.與信息處理相關(guān)的服務(wù)C.與信息處理相關(guān)的設(shè)備D.安置信息處理設(shè)備的物理場所與設(shè)施答案：ABCD解析：信息處理設(shè)施是指與信息處理相關(guān)的各種設(shè)備和物理場所與設(shè)施。信息處理系統(tǒng)是一種能夠接收、存儲(chǔ)、處理、傳輸和輸出信息的系統(tǒng)，屬于信息處理設(shè)施的一部分。與信息處理相關(guān)的服務(wù)是為了支持信息處理系統(tǒng)而提供的各種服務(wù)，也是信息處理設(shè)施的一部分。與信息處理相關(guān)的設(shè)備包括計(jì)算機(jī)、打印機(jī)、掃描儀等，這些設(shè)備是信息處理設(shè)施的核心組成部分。安置信息處理設(shè)備的物理場所與設(shè)施則是為這些設(shè)備提供物理空間的場所，也是信息處理設(shè)施的重要組成部分。因此，選項(xiàng)A、B、C、D都屬于信息處理設(shè)施。61.以下不屬于信息安全特有審核原則的是（）。A.保密性B.基于風(fēng)險(xiǎn)C.獨(dú)立性D.基于證據(jù)的方法答案：CD解析：信息安全特有審核原則主要包括保密性、完整性和可用性。保密性是指確保信息不被未經(jīng)授權(quán)的人員獲取和使用；完整性是指確保信息在傳輸和存儲(chǔ)過程中不被篡改或損壞；可用性是指確保信息在需要時(shí)可以被授權(quán)人員訪問和使用。選項(xiàng)A保密性屬于信息安全特有審核原則，因?yàn)樗_保了信息不被未經(jīng)授權(quán)的人員獲取和使用。選項(xiàng)B基于風(fēng)險(xiǎn)并不是信息安全特有的審核原則，它是安全管理的一個(gè)基本原則，旨在識(shí)別和評(píng)估潛在的安全風(fēng)險(xiǎn)，并采取相應(yīng)的措施來減輕這些風(fēng)險(xiǎn)。信息安全管理會(huì)基于風(fēng)險(xiǎn)來確定安全策略和措施，但它不是信息安全特有的審核原則。選項(xiàng)C獨(dú)立性是審核過程的一個(gè)重要原則，但它并不是信息安全特有的。獨(dú)立性原則要求審核人員獨(dú)立于被審核的對(duì)象，以確保審核的客觀性和公正性。選項(xiàng)D基于證據(jù)的方法也是審核過程的基本原則，它要求審核人員依據(jù)充分的證據(jù)來做出審核結(jié)論。然而，這并不是信息安全特有的審核原則。因此，選項(xiàng)C和D不屬于信息安全特有的審核原則。62.組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動(dòng)是（）。A.審核準(zhǔn)備B.第一階段審核C.第二階段審核D.認(rèn)證決定答案：BC解析：根據(jù)信息安全管理體系的審核流程，初次認(rèn)證審核通常包括兩個(gè)階段：第一階段審核和第二階段審核。第一階段審核主要是審核組織的信息安全管理體系文件，確認(rèn)其符合相關(guān)標(biāo)準(zhǔn)的要求，并確定第二階段審核的范圍和重點(diǎn)。第二階段審核則是對(duì)組織的信息安全管理體系進(jìn)行實(shí)際的現(xiàn)場審核，驗(yàn)證其運(yùn)行的有效性和符合性。因此，選項(xiàng)B“第一階段審核”和選項(xiàng)C“第二階段審核”都是組織的信息安全管理體系初次認(rèn)證應(yīng)包括的審核活動(dòng)。而選項(xiàng)A“審核準(zhǔn)備”通常指的是審核前的準(zhǔn)備工作，不是審核活動(dòng)本身，因此不應(yīng)選。選項(xiàng)D“認(rèn)證決定”是審核完成后，由認(rèn)證機(jī)構(gòu)根據(jù)審核結(jié)果作出的決定，不是審核活動(dòng)，也不應(yīng)選。因此，正確答案是B和C。63.某工程公司意圖采用更為靈活的方式建立信息安全管理體系，以下說法不正確的（）。A.信息安全可以按過程管理，采用這種方法時(shí)不必再編制資產(chǎn)清單B.信息安全可以按項(xiàng)目來管理，原項(xiàng)目管理機(jī)制中的風(fēng)險(xiǎn)評(píng)估可替代GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)評(píng)估C.公司各類項(xiàng)目的臨時(shí)場所存在時(shí)間都較短，不必納入ISMS范圍D.工程項(xiàng)目方案因包含設(shè)計(jì)圖紙等核心技術(shù)信息，其敏感性等級(jí)定義為“最高”答案：ABC解析：A選項(xiàng)中提到“信息安全可以按過程管理，采用這種方法時(shí)不必再編制資產(chǎn)清單”。這是不正確的。信息安全管理體系（ISMS）中，資產(chǎn)清單是識(shí)別、記錄和管理組織資產(chǎn)的重要工具，不論采用何種管理方式，編制資產(chǎn)清單都是必要的。B選項(xiàng)表示“信息安全可以按項(xiàng)目來管理，原項(xiàng)目管理機(jī)制中的風(fēng)險(xiǎn)評(píng)估可替代GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)中的風(fēng)險(xiǎn)評(píng)估”。這也是不正確的。信息安全管理體系中的風(fēng)險(xiǎn)評(píng)估是一個(gè)獨(dú)立且重要的環(huán)節(jié)，不能簡單地由原項(xiàng)目管理機(jī)制中的風(fēng)險(xiǎn)評(píng)估替代。C選項(xiàng)提到“公司各類項(xiàng)目的臨時(shí)場所存在時(shí)間都較短，不必納入ISMS范圍”。這也是不正確的。信息安全管理體系應(yīng)覆蓋組織的所有場所，包括臨時(shí)場所。D選項(xiàng)“工程項(xiàng)目方案因包含設(shè)計(jì)圖紙等核心技術(shù)信息，其敏感性等級(jí)定義為“最高””是正確的。對(duì)于包含敏感信息的工程項(xiàng)目方案，其敏感性等級(jí)應(yīng)被正確地定義為“最高”。綜上所述，不正確的選項(xiàng)是A、B、C。64.針對(duì)敏感應(yīng)用系統(tǒng)安全，以下正確的做法是（）。A.用戶嘗試登陸失敗時(shí)，明確提示其用戶名錯(cuò)誤或口令錯(cuò)誤B.登陸之后，不活動(dòng)超過規(guī)定時(shí)間強(qiáng)制使其退出登錄C.對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間D.對(duì)于數(shù)據(jù)庫系統(tǒng)審計(jì)人員開放不限時(shí)權(quán)限答案：BC解析：A選項(xiàng)：用戶嘗試登陸失敗時(shí)，明確提示其用戶名錯(cuò)誤或口令錯(cuò)誤。這一做法本身沒有問題，但在敏感應(yīng)用系統(tǒng)中，直接明確提示用戶名或口令錯(cuò)誤可能會(huì)暴露敏感信息，給攻擊者提供額外的線索。因此，更安全的做法是提供一個(gè)通用的失敗消息，而不是具體的信息。B選項(xiàng)：登陸之后，不活動(dòng)超過規(guī)定時(shí)間強(qiáng)制使其退出登錄。這是正確的做法，可以幫助防止長時(shí)間未使用的會(huì)話被惡意利用。C選項(xiàng)：對(duì)于修改系統(tǒng)核心業(yè)務(wù)運(yùn)行數(shù)據(jù)的操作限定操作時(shí)間。這也是正確的做法，限制操作時(shí)間可以防止長時(shí)間的操作被惡意利用，同時(shí)減少系統(tǒng)資源的占用。D選項(xiàng)：對(duì)于數(shù)據(jù)庫系統(tǒng)審計(jì)人員開放不限時(shí)權(quán)限。這是不正確的做法，審計(jì)人員應(yīng)該只擁有他們完成工作所需的最小權(quán)限，不應(yīng)該擁有不限時(shí)的權(quán)限，這會(huì)增加系統(tǒng)被攻擊的風(fēng)險(xiǎn)。綜上所述，正確的做法是B和C。65.以下場景中符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)要求的情況是（）。A.A公司為保潔人員發(fā)放了公司財(cái)務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，方便其在每天上班前和下班后打掃這些房間B.A公司將其物理區(qū)域敏感性劃分為四個(gè)等級(jí)，分別給這些區(qū)域入口的門上貼上紅、橙、黃、藍(lán)色標(biāo)志C.A公司為少數(shù)核心項(xiàng)目人員發(fā)放了手機(jī)，允許其使用手機(jī)在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機(jī)帶離指定區(qū)域D.A公司門禁系統(tǒng)的時(shí)鐘比公司視頻監(jiān)視系統(tǒng)的時(shí)鐘慢約10分鐘答案：BC解析：A選項(xiàng)描述的是A公司為保潔人員發(fā)放了公司財(cái)務(wù)總監(jiān)、總經(jīng)理等管理者辦公室的門禁卡，方便其在每天上班前和下班后打掃這些房間。這個(gè)場景并不符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)的要求，因?yàn)檫@個(gè)標(biāo)準(zhǔn)主要關(guān)注的是信息安全，而不是物理訪問控制。B選項(xiàng)描述的是A公司將其物理區(qū)域敏感性劃分為四個(gè)等級(jí)，并給這些區(qū)域入口的門上貼上紅、橙、黃、藍(lán)色標(biāo)志。這符合標(biāo)準(zhǔn)中物理和環(huán)境安全的要求，因?yàn)檫@樣可以清楚地標(biāo)識(shí)出不同敏感性的區(qū)域，從而加強(qiáng)物理安全。C選項(xiàng)描述的是A公司為少數(shù)核心項(xiàng)目人員發(fā)放了手機(jī)，并允許其使用手機(jī)在指定區(qū)域使用公司無線局域網(wǎng)訪問客戶數(shù)據(jù)FTP，但不允許將手機(jī)帶離指定區(qū)域。這符合標(biāo)準(zhǔn)中訪問控制的要求，因?yàn)檫@樣可以限制對(duì)敏感信息的訪問，并減少信息泄露的風(fēng)險(xiǎn)。D選項(xiàng)描述的是A公司門禁系統(tǒng)的時(shí)鐘比公司視頻監(jiān)視系統(tǒng)的時(shí)鐘慢約10分鐘。這不符合標(biāo)準(zhǔn)中系統(tǒng)安全的要求，因?yàn)闀r(shí)鐘不同步可能會(huì)導(dǎo)致安全事件難以追蹤和調(diào)查。綜上所述，符合GB/T22080-2016/ISO/IEC27001:2013標(biāo)準(zhǔn)要求的情況是B和C選項(xiàng)。66.在信息安全事件管理中，（）是所有員工應(yīng)該完成的活動(dòng)。A.報(bào)告安全方面的漏洞或弱點(diǎn)B.對(duì)漏洞進(jìn)行修補(bǔ)C.發(fā)現(xiàn)并報(bào)告安全事件D.發(fā)現(xiàn)立即處理安全事件答案：AC解析：在信息安全事件管理中，員工需要承擔(dān)一定的責(zé)任來確保信息的安全性。選項(xiàng)A“報(bào)告安全方面的漏洞或弱點(diǎn)”指的是員工在發(fā)現(xiàn)任何可能威脅信息安全的問題時(shí)，應(yīng)及時(shí)向相關(guān)部門報(bào)告，以便及時(shí)采取措施。選項(xiàng)C“發(fā)現(xiàn)并報(bào)告安全事件”指的是員工在發(fā)現(xiàn)任何安全事件時(shí)，應(yīng)立即報(bào)告，以便及時(shí)應(yīng)對(duì)和減少損失。這兩個(gè)選項(xiàng)都是員工在信息安全事件管理中應(yīng)該完成的活動(dòng)。選項(xiàng)B“對(duì)漏洞進(jìn)行修補(bǔ)”和選項(xiàng)D“發(fā)現(xiàn)立即處理安全事件”雖然也是信息安全事件管理中的重要環(huán)節(jié)，但它們更多地是由專業(yè)安全團(tuán)隊(duì)或管理部門來完成的，而不是所有員工。因此，正確答案應(yīng)為A和C。67.“云計(jì)算機(jī)服務(wù)”包括哪幾個(gè)層面？（）A.PaasB.SaaSC.TaaSD.PIIS答案：ABC解析：云計(jì)算機(jī)服務(wù)通常包括三個(gè)主要層面：IaaS（基礎(chǔ)設(shè)施即服務(wù)）、PaaS（平臺(tái)即服務(wù)）和SaaS（軟件即服務(wù)）。TaaS（技術(shù)即服務(wù)）雖然也是一種云服務(wù)模式，但在題目中并未提及。因此，正確答案為A、B、C，即IaaS、PaaS和SaaS。68.對(duì)于渉密信息系統(tǒng)，以下說法正確的是（）。A.使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品B.使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)的檢測C.使用的信息安全保密產(chǎn)品應(yīng)從由國家保密局審核發(fā)布的目錄中選取D.總體保護(hù)水平應(yīng)不低于國家信息安全等級(jí)保護(hù)第四級(jí)水平答案：ABC解析：根據(jù)題目給出的信息，我們來看各個(gè)選項(xiàng)的正確性。A選項(xiàng)：使用的信息安全保密產(chǎn)品原則上應(yīng)當(dāng)選用國產(chǎn)品。這一選項(xiàng)指的是，對(duì)于涉密信息系統(tǒng)的產(chǎn)品，應(yīng)該優(yōu)先考慮使用國產(chǎn)產(chǎn)品。這是基于國家保密的需要，確保信息的安全性和可控性。B選項(xiàng)：使用的信息安全保密產(chǎn)品應(yīng)當(dāng)通過國家保密局授權(quán)的檢測機(jī)構(gòu)的檢測。這一選項(xiàng)強(qiáng)調(diào)了產(chǎn)品需要經(jīng)過權(quán)威機(jī)構(gòu)的檢測，以確保其符合保密要求。C選項(xiàng)：使用的信息安全保密產(chǎn)品應(yīng)從由國家保密局審核發(fā)布的目錄中選取。這一選項(xiàng)指的是，涉密信息系統(tǒng)使用的產(chǎn)品應(yīng)該來源于經(jīng)過國家保密局審核并發(fā)布的目錄，這樣可以確保產(chǎn)品的質(zhì)量和保密性。D選項(xiàng)：總體保護(hù)水平應(yīng)不低于國家信息安全等級(jí)保護(hù)第四級(jí)水平。這一選項(xiàng)涉及的是信息安全的等級(jí)保護(hù)，與涉密信息系統(tǒng)的保密要求不完全吻合。涉密信息系統(tǒng)有其特定的保密要求，不一定需要達(dá)到國家信息安全等級(jí)保護(hù)第四級(jí)水平。綜上所述，A、B、C選項(xiàng)都是關(guān)于涉密信息系統(tǒng)保密的正確說法。因此，正確答案為A、B、C。69.以下說法不正確的是（）。A.信息安全管理體系審核是信息系統(tǒng)審計(jì)的一種B.信息安全技術(shù)應(yīng)用的程度決定信息安全管理體系認(rèn)證審核的結(jié)論C.組織對(duì)信息安全威脅的分析必須是信息安全管理體系審核關(guān)注的要素D.如果組織已獲得業(yè)務(wù)連續(xù)性管理體系認(rèn)證，則信息安全管理體系審核可略過風(fēng)險(xiǎn)評(píng)估答案：ABD解析：A選項(xiàng)：信息安全管理體系審核不等同于信息系統(tǒng)審計(jì)。信息安全管理體系審